Từ những vụ tấn công đánh cắp chứng thư số, giả mạo hợp đồng cho đến việc chiếm quyền truy cập hệ thống tài chính, các rủi ro an ninh ngày càng lộ rõ. Nếu con dấu truyền thống có thể bị mất cắp trong thế giới vật lý, thì trong không gian số, việc chữ ký điện tử bị đánh cắp có thể gây hậu quả lan rộng, khó kiểm soát và để lại thiệt hại khôn lường.

KỲ 1: Vụ bê bối ở Thổ Nhĩ Kỳ và lời cảnh tỉnh cho hệ sinh thái số quốc gia

Vạch trần âm mưu gian lận chữ ký điện tử phức tạp

Năm 2025, Thổ Nhĩ Kỳ chứng kiến một chiến dịch điều tra lớn: khoảng 200 nghi phạm bị bắt giữ liên quan đến đường dây sản xuất bằng đại học, bằng lái và chứng chỉ giả. Điểm đặc biệt của vụ án này là những kẻ này đã làm giả văn bản giấy tờ, bằng cấp rồi sao chép chữ ký điện tử hợp pháp. Theo hồ sơ tòa án, cuộc điều tra được Văn phòng Tổng Công tố Ankara đã mở vào năm 2024, sau khi nhận được đơn khiếu nại của một công chức bị sao chép chữ ký điện tử.

Một tấm bằng giả được cho là do Đại học Kỹ thuật Trung Đông (ODTÜ) cấp được bán với giá 450 Lira Thổ Nhĩ Kỳ (khoảng 47 USD) trên Internet.

Kết quả điều tra cho thấy, các nhà cung cấp chứng thực điện tử TÜRKTRUST và E-IMZATR đã sử dụng bằng lái xe giả và thẻ căn cước Thổ Nhĩ Kỳ tại các chi nhánh và văn phòng của họ ở Adana, Mersin, Hatay, Ankara và Istanbul để tạo chữ ký điện tử cho các quan chức làm việc tại các cơ quan công quyền như Cơ quan Công nghệ Thông tin và Truyền thông (BTK), Hội đồng Giáo dục Đại học (YOK) và Bộ Giáo dục Quốc gia (MEB) của Thổ Nhĩ Kỳ, cho phép truy cập trái phép vào các cơ sở dữ liệu của chính phủ chứa hồ sơ học tập và cấp phép. Những người bị sao chép chữ ký bao gồm Chủ tịch và Phó Chủ tịch BTK, Giám đốc Giáo dục và Đào tạo tại YOK, Giám đốc Hệ thống Thông tin Quản lý tại MEB và Giám đốc Công tác sinh viên từ 14 trường đại học khác nhau.

Các công tố viên xác định rằng, các nghi phạm đã làm việc với nhân viên của hai nhà cung cấp chứng chỉ điện tử TURKTRUST và E-IMZATR phục vụ các trường đại học và cơ quan chính phủ. Chúng đã tạo ra chữ ký điện tử giả bằng cách sử dụng giấy phép lái xe và chứng minh thư nhân dân giả mạo, sau đó sử dụng các thông tin đăng nhập giả mạo này để truy cập trái phép vào các hệ thống của chính phủ. Quá trình sao chép chữ ký điện tử đã khai thác cơ sở hạ tầng chính phủ điện tử của Thổ Nhĩ Kỳ, vốn dựa trên chữ ký điện tử duy nhất tương tự như mã số định danh quốc gia cho các giao dịch chính thức. Chỉ những nhân viên được ủy quyền mới có thể truy cập vào các hệ thống này và nhập dữ liệu chính thức vào các nền tảng quốc gia như e-Devlet. Thông qua quyền truy cập này, các bằng cấp giả đã được tạo ra và thêm vào hệ thống YOKSIS, trong khi việc truy cập trái phép vào hệ thống MEB cho phép tạo ra hồ sơ tốt nghiệp trung học phổ thông bất thường và sửa đổi kết quả bài kiểm tra lý thuyết và thực hành lái xe…

Đánh giá về chữ ký điện tử của EU và Thổ Nhĩ Kỳ.

Cơ chế lỗ hổng và mối đe dọa hệ thống

Phân tích thêm về vụ án này, nhiều chuyên gia về bảo mật đã nói đến lỗ hổng trong cơ chế quản lý chữ ký điện tử của Thổ Nhĩ Kỳ. Tờ Turkish Minute còn tổng kết 4 lỗi sai kỹ thuật mà nhóm tội phạm đã lợi dụng trong vụ giả mạo như sau: Thứ nhất, chúng lợi dụng nhà cung cấp chứng thư số mà cụ thể là sử dụng các chứng thư giả mạo, được cấp bởi TÜRKTRUST và E-İMZATR, nhờ đó được hợp pháp hóa các chữ ký điện tử giả mạo; thứ hai là tấn công vào hệ thống e-Devlet/E­BYS khi có chữ ký điện tử của cán bộ cao cấp; thứ ba là thiếu cơ chế kiểm tra xác thực khi sử dụng chữ ký, tức là, khi nhận được một tài liệu đã ký điện tử, người nhận không có công cụ xác nhận xem đó có thực sự do người ký phát hành hay không; thứ tư là không xác thực đa yếu tố hoặc các biện pháp nâng cao như hệ thống xác thực hai bước (2FA)…

Được biết, chữ ký điện tử tại Thổ Nhĩ Kỳ là công cụ pháp lý quan trọng, tương đương với chữ ký tay và được sử dụng rộng khắp trong hệ thống hành chính – từ công văn, quyết định nhân sự, phê duyệt ngân sách, đến hợp đồng và kiểm toán nội bộ. Vì thế, mất kiểm soát chữ ký số có thể khiến các quyết định giả mạo được thi hành y như thật. Hiện Thổ Nhĩ Kỳ đang duy trì Luật Chữ ký Điện tử (Electronic Signature Law No. 5070) được ban hành năm 2004, chính thức có hiệu lực từ tháng 7/2004. Theo đó, chữ ký điện tử được chia thành chữ ký đơn giản và chữ ký điện tử an toàn; loại an toàn sẽ có hiệu lực pháp lý tương đương chữ ký tay và phải thỏa các điều kiện: độc quyền với chủ sở hữu, được tạo bằng thiết bị tạo chữ ký an toàn, liên kết với chứng thư điện tử xác thực và đảm bảo phát hiện nếu dữ liệu bị thay đổi.

Sau bê bối, có nhiều nghi ngờ nhắm vào DocuSign, nền tảng chữ ký điện tử hàng đầu thế giới đang được sử dụng tại Thổ Nhĩ Kỳ.

Về quản lý nhà cung cấp chứng thư số (ECSP), chính phủ Thổ Nhĩ Kỳ quy định, đơn vị cung cấp dịch vụ chứng thư điện tử phải thông báo và chịu sự kiểm soát từ BTK và chịu trách nhiệm triển khai đúng quy định pháp luật. Đặc biệt, hệ thống e-Devlet (e-Government) cho phép công dân truy cập các dịch vụ chính phủ như khai báo, tra cứu văn bằng, hợp đồng... và hỗ trợ xác thực qua chữ ký điện tử hoặc SIM/mobile signature. Ngoài ra, Thổ Nhĩ Kỳ còn cho triển khai nhiều ứng dụng như: e-hóa đơn, e-kê khai thuế, e-thư đăng ký (KEP), giao dịch ngân hàng, hợp đồng điện tử… Năm 2021, Chính phủ Thổ Nhĩ Kỳ còn ban hành quy định về xác thực danh tính người dùng trong lĩnh vực viễn thông và chứng thư điện tử, có thể qua e-Government, AI theo tiêu chuẩn ICAO, ký quét ID, hoặc xác thực video trực tiếp; cùng các biện pháp nhằm tăng tính bảo mật bao gồm: mã hóa dữ liệu, lưu vết giao dịch theo quy định, xử phạt nghiêm nếu vi phạm…

Mặc dù đã tạo một hành lang pháp lý khá vững chắc, nhưng 20 năm qua, Thổ Nhĩ Kỳ vẫn phải đối mặt với nhiều vụ việc liên quan đến an ninh mạng và bảo mật chữ ký điện từ. Năm 2016, một cơ sở dữ liệu chứa thông tin cá nhân của khoảng 50 triệu công dân Thổ Nhĩ Kỳ (số ID, địa chỉ...) bị rò rỉ trực tuyến. Năm 2021, vụ bán dữ liệu nhân thân ở Kilis cũng gây chấn động lớn khi công chức tại cơ quan đăng ký dân cư đã bán dữ liệu công dân cho người nước ngoài, cho phép làm giả thẻ ID và hộ chiếu bằng cách ghi đè dấu vân tay và ảnh mà không thay đổi số ID, dẫn đến việc ít nhất 22 hộ chiếu và 8 thẻ ID được cấp trái phép. Đó là chưa kể đến vụ lạm dụng chữ ký giả để cấp đơn thuốc gây nghiện. Trong vụ này, nhóm tội phạm sử dụng chữ ký điện tử bị đánh cắp cùng với số ID mua lại để cấp hơn 1.300 đơn thuốc giả cho thuốc gây nghiện, dẫn đến hơn 500.000 viên được bán trên chợ đen ở nhiều thành phố (Antalya, İzmir, Istanbul).

Huyền Chi

Khi chìa khóa số bị đánh cắp, cả hệ thống niềm tin và quản lý có thể sụp đổ, vậy cần làm gì để giữ niềm tin số. Mời bạn đón đọc kỳ 2 vào ngày 26/8